採取「獨立非持續性」設定的VM最大差別,重開機後VM硬碟的資料會歸零。在此設定下,VM在操作過程中產生的資料,會寫入到暫存檔(SEsparse.REDO-11ceXp),如圖中1所示,暫存檔資料有4.1GB。一旦重開機後,原本暫存檔就會被捨棄,VM會重建新的暫存檔,如圖2中的暫存檔(SEsparse.REDO-Gm5hT3)只有180MB,先前的舊資料也就消失不見。(圖片來源/OSSLab)

當VM資料遺失了,但沒有備份,資料救援怎麼開始第一步?專門從事企業資料救援的OSSLab資訊長張道弘就表示,遇到VM資料遺失又沒有備份時,搶救第一步,優先要確保避免系統額外寫入,並將LUN儲存空間(統稱所有硬碟,包含虛擬和實體)立刻離線,再把原始LUN交給專業資料救援公司,資料救回的成功機率比較高。非得執行寫入,要確實備份LUN,或對硬體建立快照,才開始操作。

避免執行如fsck指令的寫入,以免增加資料救援的難度

遇到VM資料遺失,恢復備份是一個為了求時效性的緊急恢復的手段,但沒有備份時,就進到資料救援操作。

以這次學習歷程資料遺失事件為例,因誤用了錯誤VM設定樣板,採取「獨立非持續性」的模式設定,造成重開機後VM硬碟的資料歸零。

張道弘直言,一般MIS所採取的一些資料恢復處置,幾乎都有寫入型的動作,常見如fsck(file system consistency check)指令。它是一個修理檔案錯亂的指令工具,類似Windows的chkdsk,但這些操作都有代價,存在潛藏的風險,只是一般IT人員不知道原理,難以判斷它的風險高低,所以,有時容易造成不可逆的狀況,增加資料救援的難度。

不過,LUN備份也有一定程度的門檻,不是每家企業都能自己來,包括需要正確的操作經驗,儲存空間又要夠大,甚至備份也很花時間。

在拿到LUN備份以後,一般來說,資料救援廠商會透過一些逆向工程的手法,從LUN中找出資料恢復的線索。

張道弘表示,資料救援,其實就是對一個檔案系統底層的理解,以VMware VMFS檔案系統來說,使用的是傳統inode塊位檔案系統,它會有個索引表記錄所有位置,而且位址分配和地址相當嚴謹,當有檔案被刪除,刪除的並不是真正的實體資料,而是檔案空間,只是在索引表修改,將這段檔案空間給釋放出來,原來的資料還在,只是正常情況下看不到。

開始進行VMFS的資料救援,需要逆向檔案系統工程技巧,也會借助開源方法或程式,來進行程式碼解讀(code review),寫出自己的腳本程式,這樣的話,才有辦法找到被刪的實體資料所在。他提到說,市面上有很多現成的資料救援軟體,但有些支援不夠新,例如還沒支援到VMFS 6版本,也不支援快照檔的累積,得走工具腳本。

資料遺失事件發生迄今,教育部目前仍以協助學生做檔案恢復和重傳為主,資料救援仍沒有更多進展。對此,張道弘也提出他個人的觀察,他說,假設事故當下,維運人員沒更動LUN,資料救援的機率高,但時間過久陸續有寫入動作,恐降低救回機率,雖然還是可用raw救援工具(raw recovery tool)以碎片掃描/比對方式來嘗試救援,但救回機率渺茫,且耗時。


熱門新聞

Advertisement